» »

Malware napada tudi bolnišnične aparature

Malware napada tudi bolnišnične aparature

Technology Review - Večkrat smo že pisali o problemu zlonamerne programske opreme (malware), ki dandanes ni več problem zgolj na osebnih računalnikih, ampak precej širše. Obširno smo poročali o težavah borznih sistemov in saboterskih programih v kibervojskovanju, ničesar pa še nismo povedali o programski opremi v bolnišnicah. Tudi ta je v vedno večji meri zasnovana na sistemih Windows in prav tako zanikrno vzdrževana - rezultati so množične okužbe kritičnih bolnišničnih sistemov.

Raziskovalci ugotavljajo, da je problem precej bolj razširjen, kot je to videti v javnosti in kot bi si to želeli. Rezultati študije v ZDA kažejo precej klavrno sliko. V Beth Israel Deaconess Medical Centru v Bostonu, ki je univerzitetna bolnišnica harvardske medicinske fakultete in ima trikrat manj postelj od ljubljanskega UKC (razmerje je okrog 600 proti 2000), ima vsaj 664 kosov medicinske opreme, na kateri tečejo predpotopne verzije Windows. Problem je, da jih nihče posodablja, zato se ranljive za napade, hkrati pa so priključene na bolnišnično omrežje, ki je navzven sicer zaprto, a povezano na internet.

Naprave pa niso nevzdrževane, ker se jih nikomur ne bi ljubilo posodabljati, marveč ker jih ne smejo. Ameriška regulator FDA namreč ne dovoljuje samovoljnega nadgrajevanja in krpanja programske opreme (niti nameščenja popravkov ali protivirusnih programov), ne da bi sistem ponovno certificirali in zagotovili skladnost. To traja in stane, zato bolnišnice tega ne počno. Mnogo je tudi naprav, za katere se je podpora že zdavnaj iztekla in popravkov enostavno ne bo več.

Mark Olson, ki v zgoraj omenjeni bolnišnici skrbi za varnost informacijskega sistema, je poudaril, da so primeri okužb naprav pogosti. Naprave potem pogosto tudi prenehajo snemati podatke (gre za razne kritične sisteme v intenzivni negi), dokler jih ne očistijo. To se v tako veliki bolnišnici dogaja tedensko. Malware, ki napade te naprave, ni napisan z namenom škodovati bolnikom, ampak gre za klasične odjemalce v botnetih in podobno, ki niti ne vedo, kaj so okužili. Stranski učinki pa so bistveno počasneje odzivanje ali celo prenehanje odzivanja preobremenjenih naprav in popolna zamašitev omrežja, ko botnet poizkuša vzpostaviti stik s svojimi kontrolno-nadzornimi strežniki na internetu.

FDA je sicer leta 2009 proizvajalcem in bolnišnicam izdala priporočilo, naj sodelujejo pri zajezitvi teh tegob, a je formulirano precej medlo. Predvsem pa v njem ni jasno napisano, da takšne posodobitve ne bi terjale novih certifikatov in odobritev FDA. Za zdaj omenjene težave povzročajo zgolj obilico sivih las vzdrževalcem in osebju, ki prostodušno priznava, da se na računalnike v celoti pač še ne morejo zanesti, a zgodili so se že incidenti, ki bi potencialno lahko poškodovali ljudi.

49 komentarjev

Kurzweil ::

Nekako se težko vzdržim, da nebi rekel tega... upam, da tisti, ki je to zlonamerno kodo spisal, da sam umre za posledicami oz. problemi na eni od aparatur, ki je bila ovirana s strani tega sranja, mogoče tudi kdo bližnji, da takšnemu debilu vendarle kapne, kaj počne.

magecu ::

Kurzweil, pa sej ni koda spisana zato, da napada bolnišnice, to so normalni virusi, enaki kot so na domačih računalnikih.

Problem je da je veliko programske opreme v medicini slabo podprte in cene so izredno visoke (jasno ker bi morali programi zahtevat dovolj visokim standardom kakovosti).

Na koncu se pa itak vse konča pri korupciji, kot ponavadi.

darkolord ::

Meni pa ni čisto jasno, kako si nekdo sploh upa pomisliti takšne naprave priključiti na nezaščiteno (in zanemarjeno) omrežje.

Zgodovina sprememb…

  • spremenilo: darkolord ()

NeMeTko ::

Točno tako. Če omrežja nisi sposoben zaščititi (ti ne dajo denarja?), potem furaj izoliran vlan za aparature.

Glugy ::

Naj imajo posebej omrežje za internet pa posebej tisto staro omrežje. Ko je pa treba kej dobit z neta(uradne strani ki se jim zaupa) naj se pa po računalniku s kateremu se gre sam na te strani s ključkom prenese na staro omrežje.

Tear_DR0P ::

Glugy je izjavil:

Naj imajo posebej omrežje za internet pa posebej tisto staro omrežje. Ko je pa treba kej dobit z neta(uradne strani ki se jim zaupa) naj se pa po računalniku s kateremu se gre sam na te strani s ključkom prenese na staro omrežje.


in iranska jedrska infrastruktura se je prav na tak način okužila :)
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

kronik ::

Sem bil 100%, da resne zadeve tečejo na *nix sistemih.

raufnk ::

kronik je izjavil:

Sem bil 100%, da resne zadeve tečejo na *nix sistemih.


če veš kaj delaš so windows sistemi ravno tako dobri kot *nix sistemi
lp raufnk

techfreak :) ::

Meni ni jasno, kako lahko ima bolnišnica tako nezaščiteno omrežje in zakaj nimajo ločenega omrežja za uslužbence in naprave.

kronik je izjavil:

Sem bil 100%, da resne zadeve tečejo na *nix sistemih.

Resne zadeve tečejo tudi na ostalih OSih, težava je v tem, da imajo vsi nenadgrajeni OSi znane luknje.

raufnk je izjavil:

če veš kaj delaš so windows sistemi ravno tako dobri kot *nix sistemi

Vendar bi v tem primeru bilo bolj varno uporabiti *nix sistem, ker boš za njega bolj težko našel toliko random malware-a kot pri Windowsu.

Zgodovina sprememb…

Blisk ::

Ne predstavljam si, da za naprave življenjskega pomena uporabljajo crapware kot je microsoft.
Hkrati pa upam, da mi nikoli ne bo treba bit priključen na kak tak crapware sistem!

Predvidevam, pa da so to taki ta poceni sistemi kot "kitajska" roba. Vsak resen izdelovalec teh naprav ima svoj sistem, ki ne more biti okužen s splošnimi zadevami, kot so windowsi.

techfreak :) ::

Vsak resen izdelovalec teh naprav ima svoj sistem, ki ne more biti okužen s splošnimi zadevami, kot so windowsi.

Ker lastni sistemi zagotavljajo večjo zanesljivost, lažje programiranje in boljšo podporo?

Osebno bi raje bil priklopljen na napravo s pravilno posodobljenim/konfiguriranim Windows sistem, kot pa na nek naključen OS, ki so ga sami šli programirati.

jest10 ::

No, lahko povem, da so praktično vsi računalniki v ZD Trebnje konkretno okuženi z raznovrstno sodrgo, poleg jasno še kupa drugih problemov. Sistemc s podjetja PIP, ki skrbi za to skropucalo nima blage veze;(( Za bonus te pa še obtožijo, da si ti okužil ves sistem, ko spucaš svinjarijo iz kakšnega računalnika, da le ta vsaj približno deluje:))

Blisk ::

techfreak :) je izjavil:

Vsak resen izdelovalec teh naprav ima svoj sistem, ki ne more biti okužen s splošnimi zadevami, kot so windowsi.

Ker lastni sistemi zagotavljajo večjo zanesljivost, lažje programiranje in boljšo podporo?

Osebno bi raje bil priklopljen na napravo s pravilno posodobljenim/konfiguriranim Windows sistem, kot pa na nek naključen OS, ki so ga sami šli programirati.


Kaj pa tebi ni jasno? Sistem, ki je narejen za take zadeve ne rabi neke posodabljanja saj je narejen za te funkcije in ko je stestiran deluje.
Ja windowse pa res rabiš met posodobljene pa še pri posodobitvah se ti sesujejo.

Me res zanima kako to zgleda, da si priključen na mašino, pride popravek za windowse in se sistem sesuje zaradi popravka.
Windowsi niso in nikoli ne bodo za take zadeve, zato pa pravim, da to vgrajujejo samo tisti ta poceni proizvajalci!
Ta resni imajo resne zadeve! Ampak za rajo je dober tisto ta poceni, zato pa politika hod v tujino na zdravljenje!

Zgodovina sprememb…

  • spremenil: Blisk ()

NeMeTko ::

Ne no filozofirat kar nekaj na pamet.

V bolnišnicah najdeš vsega vraga, pogosto niti sami ne vedo, kaj dejansko za en OS teče na neki specializirani napravi, ker niti nima ekrana in je preko mreže ali RS232 priključena na nek upravljalski PC na katerem teče - ne boš verjel zloglasni Windows OS. Medtem, ko so vse oči uprte v tisti PC in se tuhta, kako bi se ga držalo 'up-to-date', pa se pozabi na tisto napravo, ki jo je krmilil.

Takšnih in drugačnih scenarijev se najde kolikor hočeš, da bi pa bila stvar še slabša, mnoge, zlasti manjše bolnice, niti nimajo lastnega osebja, ki bi to vzdrževalo.

Tudi pri nas situacija ni veliko boljša. Problem je že spraskati skupaj 3000€, da bi se postavilo spodobno požarno pregrado in se potem nekaj improvizira z OpenSource rešitvami, ki 'nekaj filtrirajo', vendar nihče ne ve, kaj dejansko 'filtrirajo', ker je zadevo postavil nek zunanji sodelavec.
Po možnosti se temu zunanjemu sodelavcu celo nekaj sanja o mrežah in filtriranju prometa, zatakne se pa pri poglobljenem poznavanju in razumevanju bolnišničnih tehnologij, ki so znešene skupaj iz vseh vetrov.
Poleg tega imamo v bolnicah tudi opravka z neskončno zbirko skrajno občutljivih osebnih podatkov, ki lahko po mili volji odtekajo preko omrežja, ker jih nihče ne nadzira.

Pri denarju se vse začne in konča. Če ima pa še človeška neumnost prste vmes, pa takointako ni pomoči.

metalc ::

V samih medicinskih napravah bi človek pričakoval podobne stvari kot v industrijskih krmilnikih, torej hard real time OS (a la VxWorks). Skratka OS s schedulerjem, ki zagotavlja, da bo kritičen proces res prišel na vrsto ob točno določenem intervalu.

Povsem druga zgodba je pa seveda IS za podporo poslovanju, evidence pacientov ipd.

Looooooka ::

Sj niso okuzene naprave, ki ohranjajo zivljenje no. Chill. Pac masine s kksnim programom za diagnozo kksnega sranja. To je pa res cist vseen kater OS je gor. Vazno da dela. Folk pa pac na net hod...in dela probleme, ker je nesposoben :)

NeMeTko ::

Tudi industrijski krmilniki so ranljivi, če se PC s katerim jih krmilimo okuži. Včeraj so bili pod udarom Siemensovi industrijski krmilniki (Stuxnet). Kdo ve, kaj bo jutri?

Problem ne smemo gledati tako ozko in misliti, da je nevarnost zgolj v krmiljeni napravi. Povsem zadošča že, če upravljalski PC stakne 'klasičen' virus in se sesede - medtem ko bi moral krmiliti in spreminjati parametre na upravljani napravi.
Predstavljajte si, da ste na obsevanju, vi ležite tam pod pospeševalnikom - na računalniku poleg, iz katerega se zadevo upravlja, pa nenadoma zagledate tisti zloglasni modri ekran. Bi še dolgo ležali pod obsevalnikom?

driver_x ::

Industrijskih krmilnikov ne krmili noben PC in se tudi ne okužijo! Tudi niso bili pod udarom nobeni Siemensovi krmilniki, ampak sistemi SCADA.

Sicer mi pa ni jasno, kako lahko na več sto tisoč evrov vredne medicinske naprave dajo Windowse.

techfreak :) ::

Predstavljajte si, da ste na obsevanju, vi ležite tam pod pospeševalnikom - na računalniku poleg, iz katerega se zadevo upravlja, pa nenadoma zagledate tisti zloglasni modri ekran. Bi še dolgo ležali pod obsevalnikom?

Predstavljaj si, da nimajo nobene zaščite v obliki strojne opreme/firmware-a.;((

NeMeTko ::

driver_x je izjavil:

Industrijskih krmilnikov ne krmili noben PC in se tudi ne okužijo! Tudi niso bili pod udarom nobeni Siemensovi krmilniki, ampak sistemi SCADA.

Sicer mi pa ni jasno, kako lahko na več sto tisoč evrov vredne medicinske naprave dajo Windowse.

SCADA je pa krmilil kaj? Na koncu so spet bili krmilniki na centrifugah, ki so delovali 'čudno'.

Veliko naprav danes še vedno deluje po podobni logiki kot tiskalniki in so povsem odvisne od ukazov, ki jih prejemajo od računalnika, ki jih krmili. Kakšen rezultat lahko pričakujemo, če se 'zmeša' gonilniku za tiskalnik, si lahko vsak predstavlja (če ni to celo že sam doživel).

Grumf ::

Windows? Ojoj, kako lahko uporabljajo tak crap na mission critical sistemih. Ali pa buh ne daj enak crap od linuxa.

Morali bi uporabljati OpenVMS. ;)
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

gzibret ::

Po svoje pa je kriva tudi birokracija, ki ne dovoljuje nobene fleksibilnosti. Saj še prd*** ne moreš, brez da 10 ljudi vtakne notri nos, odobritev gre po hierarhiji vse od mehanika do generalnega in nazaj, ali pa še višje, 5 jih pol more podpisat, pa še vedno moraš tiščati rit skupaj.

Takle mamo.... izgleda, da ne samo pri nas.
Vse je za neki dobr!

Zgodovina sprememb…

  • spremenilo: gzibret ()

technolog ::

Šit - boh ve kok ljudi je že umrlo zarad take stvari...

Seveda se je vse pometlo pod preprogo po mojem, z M$ na čelu.

ender ::

Blisk je izjavil:

Ne predstavljam si, da za naprave življenjskega pomena uporabljajo crapware kot je microsoft.
Hkrati pa upam, da mi nikoli ne bo treba bit priključen na kak tak crapware sistem!
Na starejših ultrazvokih imaš NT4 ali Windows 2000 Embedded, na novejših modelih imaš XP Embedded.

Blisk je izjavil:

Predvidevam, pa da so to taki ta poceni sistemi kot "kitajska" roba. Vsak resen izdelovalec teh naprav ima svoj sistem, ki ne more biti okužen s splošnimi zadevami, kot so windowsi.
Največ izkušenj imam z GEjevimi napravami, ki vse poganjajo Windows. Pri drugih proizvajalcih ni kaj dosti drugače.

techfreak :) je izjavil:

Osebno bi raje bil priklopljen na napravo s pravilno posodobljenim/konfiguriranim Windows sistem, kot pa na nek naključen OS, ki so ga sami šli programirati.
Problem je v tem, da kakršni koli popravki lahko povzročijo težave, zato bi bilo potrebno pred namestitvijo vsakega le-tega preveriti v testnem okolju (nočeš med pregledom ugotoviti, da ti zaradi popravkov sonda ne daje več jasne slike).

metalc je izjavil:

V samih medicinskih napravah bi človek pričakoval podobne stvari kot v industrijskih krmilnikih, torej hard real time OS (a la VxWorks). Skratka OS s schedulerjem, ki zagotavlja, da bo kritičen proces res prišel na vrsto ob točno določenem intervalu.
Na ultrazvoku ne rabiš real-time sistema - rabiš nekaj, kar podpira 3D grafiko (večinoma imaš notri kar Quadro kartice, ker se za procesiranje uporablja tudi CUDA), in kar lahko priključiš na tiskalnik, da po potrebi takoj natisneš slike. Zraven rabiš še mrežno povezljivost, da lahko stvari za kasnejšo obdelavo shraniš v arhiv. In če lahko na ultrazvoku in na delovni postaji poganjaš program na isti osnovi, je to samo plus.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

NeMeTko ::

Če ultrazvok crkne, še ni konec sveta, vsaj ponavadi ne. Je nadležno, zoprno, povzroča zamude, ne moreš pa govoriti o tem, da neposredno ogroženo življenje pacienta, če odpove (razen, če ni to ravno tisti na urgenci).

Se najde v bolnicah na stotine veliko bolj rizičnih naprav od ultrazvoka, za katere se nam ne-medicincem še sanja ne, da jih poganja ranljiv software. Ne znam si npr. predstavljati, da se tistemu robotu za operacije samo enkrat za hip 'zakolca'. So pa še drugi sistemi, ki se na prvi pogled zdijo povsem nedolžni, pa lahko povzročijo zelo velike težave, ki na koncu lahko tudi rezultirajo v izgubi človeških življenj.

darkolord ::

Seveda se je vse pometlo pod preprogo po mojem, z M$ na čelu.
Kaj ima pa MS tukaj veze?

Blisk ::

ender je izjavil:

Blisk je izjavil:

Ne predstavljam si, da za naprave življenjskega pomena uporabljajo crapware kot je microsoft.
Hkrati pa upam, da mi nikoli ne bo treba bit priključen na kak tak crapware sistem!
Na starejših ultrazvokih imaš NT4 ali Windows 2000 Embedded, na novejših modelih imaš XP Embedded.


metalc je izjavil:

V samih medicinskih napravah bi človek pričakoval podobne stvari kot v industrijskih krmilnikih, torej hard real time OS (a la VxWorks). Skratka OS s schedulerjem, ki zagotavlja, da bo kritičen proces res prišel na vrsto ob točno določenem intervalu.
Na ultrazvoku ne rabiš real-time sistema - rabiš nekaj, kar podpira 3D grafiko (večinoma imaš notri kar Quadro kartice, ker se za procesiranje uporablja tudi CUDA), in kar lahko priključiš na tiskalnik, da po potrebi takoj natisneš slike. Zraven rabiš še mrežno povezljivost, da lahko stvari za kasnejšo obdelavo shraniš v arhiv. In če lahko na ultrazvoku in na delovni postaji poganjaš program na isti osnovi, je to samo plus.


Glede na to, da vidim, da se spoznaš na zadeve. KDO pa nabavlja te stvari? Verjetno se kupuje po načinu JU najcenejša zadeva gre čez? Torej verjetno drži tisto kar sem rekel, da so vedno v bolnicah najcenejše zadeve? Torej zadeve z Windowsi. Zanimivo bi bilo videti kataloge teh naprav in kateri OSi tečejo na enakih napravah vendar cenovno višjega ranga?

NeMeTko je izjavil:

Ne no filozofirat kar nekaj na pamet.

V bolnišnicah najdeš vsega vraga, pogosto niti sami ne vedo, kaj dejansko za en OS teče na neki specializirani napravi, ker niti nima ekrana in je preko mreže ali RS232 priključena na nek upravljalski PC na katerem teče - ne boš verjel zloglasni Windows OS. Medtem, ko so vse oči uprte v tisti PC in se tuhta, kako bi se ga držalo 'up-to-date', pa se pozabi na tisto napravo, ki jo je krmilil.

Takšnih in drugačnih scenarijev se najde kolikor hočeš, da bi pa bila stvar še slabša, mnoge, zlasti manjše bolnice, niti nimajo lastnega osebja, ki bi to vzdrževalo.

Tudi pri nas situacija ni veliko boljša. Problem je že spraskati skupaj 3000€, da bi se postavilo spodobno požarno pregrado in se potem nekaj improvizira z OpenSource rešitvami, ki 'nekaj filtrirajo', vendar nihče ne ve, kaj dejansko 'filtrirajo', ker je zadevo postavil nek zunanji sodelavec.
Po možnosti se temu zunanjemu sodelavcu celo nekaj sanja o mrežah in filtriranju prometa, zatakne se pa pri poglobljenem poznavanju in razumevanju bolnišničnih tehnologij, ki so znešene skupaj iz vseh vetrov.
Poleg tega imamo v bolnicah tudi opravka z neskončno zbirko skrajno občutljivih osebnih podatkov, ki lahko po mili volji odtekajo preko omrežja, ker jih nihče ne nadzira.

Pri denarju se vse začne in konča. Če ima pa še človeška neumnost prste vmes, pa takointako ni pomoči.


Kaj pa če bi kak notranji naštudiral zadeve in postavil dober firewall? Tudi meni nihče ni extra plačal, da sem to naredil, pa sem naredil zaradi referenc, če bom šel drugam iskat službo.
Pa od kdaj so open source zadeve slabe? Mislim da so daleč boljše od windows source! Poleg tega pa tudi večina resnih firewall zadev uporabljajo linux.

Zgodovina sprememb…

  • spremenil: Blisk ()

einstein :P ::

darkolord je izjavil:

Meni pa ni čisto jasno, kako si nekdo sploh upa pomisliti takšne naprave priključiti na nezaščiteno (in zanemarjeno) omrežje.


Se strinjam, enako pri elektrarnah, kjer baje lahko napadejo hekerji in vse onesposobijo.
STAY OUT OF MY TERRITORY!

einstein :P ::

@Blisk
Ta resni imajo resne zadeve! Ampak za rajo je dober tisto ta poceni, zato pa politika hod v tujino na zdravljenje!

Windows je poceni? Kakor vem je Linux brezplačen.

Ja windowse pa res rabiš met posodobljene pa še pri posodobitvah se ti sesujejo.

Se mi ni še nikoli noben OS sesul pri posodobitvah.
STAY OUT OF MY TERRITORY!

Invictus ::

einstein :P je izjavil:

@Blisk
Ta resni imajo resne zadeve! Ampak za rajo je dober tisto ta poceni, zato pa politika hod v tujino na zdravljenje!

Windows je poceni? Kakor vem je Linux brezplačen.

Ja windowse pa res rabiš met posodobljene pa še pri posodobitvah se ti sesujejo.

Se mi ni še nikoli noben OS sesul pri posodobitvah.

Linux brezplačen? Mogoče samo pri nabavi. Potem je pa strošek Linuxa ponavadi še večji, pa še prenašat moraš enega geeka, ki ti non-stop nabija kako Windows sux. Ta del podpore stane žal precej več (v nabijalskem, ne denarnem smislu) kot bi normalen ITjevec bil sposoben prenašat ...

Če se odločiš za plačano podporo Linuxa, stane enako kot Windows.

Ampak mladini je oproščeno, ker je še malo zelena :D.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Blisk ::

einstein :P je izjavil:

@Blisk
Ta resni imajo resne zadeve! Ampak za rajo je dober tisto ta poceni, zato pa politika hod v tujino na zdravljenje!

Windows je poceni? Kakor vem je Linux brezplačen.

Ja windowse pa res rabiš met posodobljene pa še pri posodobitvah se ti sesujejo.

Se mi ni še nikoli noben OS sesul pri posodobitvah.


Linux je zastonj kot tak, ki ga potegneš z neta. Aplikacije, ki so narejene za stroje na linuxu pa so precej drage saj jih ponavadi sami razvijajo.
Sam sem uspel sesuti s posodobitvami že v bistvu vse.... oz. so posodobitve sesule sistem. Linux je bil 123 nazaj medtem, ko windows je bila cela štala.

Invictus je izjavil:

einstein :P je izjavil:

@Blisk
Ta resni imajo resne zadeve! Ampak za rajo je dober tisto ta poceni, zato pa politika hod v tujino na zdravljenje!

Windows je poceni? Kakor vem je Linux brezplačen.

Ja windowse pa res rabiš met posodobljene pa še pri posodobitvah se ti sesujejo.

Se mi ni še nikoli noben OS sesul pri posodobitvah.

Linux brezplačen? Mogoče samo pri nabavi. Potem je pa strošek Linuxa ponavadi še večji, pa še prenašat moraš enega geeka, ki ti non-stop nabija kako Windows sux. Ta del podpore stane žal precej več (v nabijalskem, ne denarnem smislu) kot bi normalen ITjevec bil sposoben prenašat ...

Če se odločiš za plačano podporo Linuxa, stane enako kot Windows.

Ampak mladini je oproščeno, ker je še malo zelena :D.


S tole izjavo si mi dal misliti, če sploh veš o čem govoriš, ker mi zgleda da ne. Že 15 let se ukvarjam z obema sistemoma in plačali smo do sedaj samo Microsoft karkoli že!

Zgodovina sprememb…

  • spremenil: Blisk ()

NeMeTko ::

Blisk je izjavil:

Kaj pa če bi kak notranji naštudiral zadeve in postavil dober firewall? Tudi meni nihče ni extra plačal, da sem to naredil, pa sem naredil zaradi referenc, če bom šel drugam iskat službo.
Pa od kdaj so open source zadeve slabe? Mislim da so daleč boljše od windows source! Poleg tega pa tudi večina resnih firewall zadev uporabljajo linux.

Da bi lahko bil kompetenten za presojati, kako dober ali manj dober je open source firewall, bi moral poznati (postaviti?) vsaj še 3-4 različne komercialne firewall proizvode, saj sicer sploh nimaš realne primerjave.

Na forumih ponavadi srečuješ ljudi, ki poznajo edino low-end implementacije požarnih pregrad na home routerjih in so potem ves navdušen nad prvi malo bolj resno open source firewall rešitvijo, ki zagotovo nudi precej več možnosti, kot tisti (jaz jim rečem filtri) na routerčkih.

Če ti kdo ponuja komercialni firewall, ki ti ponuja zgolj toliko možnosti, kot neka open source varianta, potem bi tistega postavil direktno pred vrata z besedami "Ne drzni se še kdaj prikazati!".

Open source firewall je krasna reč, da se naučiš osnove, da razumeš za kaj se gre, da imaš neko predstavo o absolutnem minimumu, ki ga mora izpolnjevati komercialna rešitev (zakaj bi sicer plačeval, če dobiš zastonj boljšo reč?). Seveda je open source firewall tudi nice za domačo rabo, saj nimaš denarja za metati skozi okno, zaščita pa je čisto ok za domačo rabo - vsekakor boljša od tistega filtra v routerju.

Tudi če si prepričan, da je open source firewall dovolj za neko podjetje in si mnenja, da ga znaš optimalno skonfigurirati, bi obvezno moral nekaj časa posvetiti sodobnim komercialnim rešitvam, da sploh dobiš realen občutek, kje je neka rešitev 'prekratka', kaj poleg samega 'filtriranja' še obstaja - da boš sploh vedel, kaj vse moraš za neko kolikor toliko celovito varnostno rešitev spraviti skupaj - ne glede na to, ali je bazirana na open source ali neki mešanici open/pay rešitev.

Na open source sestaviti ekvivalent sodobnim UTM rešitvam ni mačji kašelj, to vzdrževati pa lahko postane overkill, če se ne ukvarjaš izključno s tem - za najmanj 10 strank, saj se za samo eno ta trud ne splača. Tudi če si spravil skupaj programje, ki ti lepo pokriva nekakšno UTM funkcionalnost, pa imaš še vedno resen problem s kakovostnimi up-to-date definicijami oz. signaturami za IPS, viruse,...

Na koncu, namesto da bi se ukvarjal z dejansko varnostjo (zaradi katere vse to sploh postavljaš), se ukvarjaš večino časa z zbiranjem, optimiziranjem in posodabljanjem open source kode. Če ne - boš zelo hitro imel zastarelo in nič kaj dosti varno rešitev, ki ne bo mogla optimalno izpolnjevati svoje vloge.

Ravno na varnostnem področju se pogosto srečujem z 'IT strokovnjaki', ki jih je očitno že zdavnaj zapustil tisti 'poklicni firbec'. Uporabljajo neko rešitev, ki je kakršna pač je, in najmanjšega interesa nimajo, da bi si zgolj ogledali, kaj je sicer danes še na trgu, kakšne možnosti so še na voljo - če ne zaradi česa drugega, vsaj zato, da bi se prepričali, da je njihova rešitev res tista optimalna ali vsaj primerna času, stanju tehnike.
Sam sem vedno bil zelo firbčen človek, ko se je šlo za tehnologije, sploh če se je šlo za nove tehnologije. Hočem vedeti, kaj prinašajo novega, kje je tista 'dodana vrednost', ali so kakšni novi koncepti, morda kakšni prijemi, ki bi jih lahko implementiral tudi na rešitvah, ki jih imam - brez investicije v novo rešitev. Tega firbca danes praktično ne srečuješ več. Ali je razlog kadrovska podzasedenost, da preprosto ni več časa za 'biti firbčen', ali pa se gre dejansko že za nekakšno otopelost, resignacijo ne morem presoditi.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

Invictus ::

Blisk je izjavil:


S tole izjavo si mi dal misliti, če sploh veš o čem govoriš, ker mi zgleda da ne. Že 15 let se ukvarjam z obema sistemoma in plačali smo do sedaj samo Microsoft karkoli že!

Zelo dobro vem o čem govorim. Vsako resno podjetje, ki ji IT ni posel, ne bo svoje kritične infrastrukture dala v roke neki open source rešitvi brez resnega supporta.

Zakaj mislite da je Red Hat v tujini tako uspešen? Zaradi podpore in ker se potrudijo da s popravki ne razsujejo ravno vsega.

Malo pomisli koliko stane Linux podpora če moraš za to zaposliti enega človeka. Vsak 20k EUR na leto. Ali pa poglej koliko neplačanih nadur si opravil zaradi tega ker OS ni imel uradne podpore.

Seveda to v slovenskem okolju ni potrebno, ker tako malo kdo testira popravke preden jih namesti. Najprej namesti, pol pa pri stranki za njen denar odpravljaj svoj zajeb. In zvali krivdo na njih, čeprav niti dostopa do sistema nimajo. Videno prevečkrat.

Redkim izjemam se pač opravičujem ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

driver_x ::

V takih primerih je iz interneta naložena zastonj distribucija Linuxa ravno tako dobra, kot Windowsi.

Edit: dobra in slaba

Zgodovina sprememb…

  • spremenil: driver_x ()

NeMeTko ::

driver_x je izjavil:

V takih primerih je iz interneta naložena zastonj distribucija Linuxa ravno tako dobra, kot Windowsi.

Edit: dobra in slaba

To lahko za moje pojme trdi samo 'home user', ali pa povsem nekompetenten z Linuxom zaslepljen IT-jevec.

Tako Linux, kot Windows imata močne in šibke strani. Dober ITjevec, bo znal razbrati, kje bo profitiral z uporabo Linuxa, kje pa z uporabo Windows-ov. Z glavo skozi zid riniti in trditi, da je zgolj eden sistem 'bog in batina' je neposreden pokazatelj na nekompetentnost tistega, ki tako stališče zastopa.

Keyser Soze ::

gzibret je izjavil:

Po svoje pa je kriva tudi birokracija, ki ne dovoljuje nobene fleksibilnosti. Saj še prd*** ne moreš, brez da 10 ljudi vtakne notri nos, odobritev gre po hierarhiji vse od mehanika do generalnega in nazaj, ali pa še višje, 5 jih pol more podpisat, pa še vedno moraš tiščati rit skupaj.

Takle mamo.... izgleda, da ne samo pri nas.

No ja, krivi smo si kar sami. Ker hočemo brezkompromisne storitve. In to, da nas slučajno kdo ne bo okoli prinesel oz. da nas ne bodo zdravili na poceni mašinah, ranga par 10$ iz kakšne DealExtreme štacune stacionirane nekje v Aziji.

Če bi se folk odrekel "drkanju odgovornosti za vsak drek", bi ti tudi kakšno mašino prodali brez certifikata oz. papirjev, ki so najdražji v smislu denarja in časa. Pač, bi jih par krepnilo, preden bi pogruntal komu se splača za kratek čas zaupat, ampak papirjev/izgube denarja in časa bi bilo pa manj. :D
OM, F, G!

darkolord ::

Če bi se folk odrekel "drkanju odgovornosti za vsak drek", bi ti tudi kakšno mašino prodali brez certifikata oz. papirjev, ki so najdražji v smislu denarja in časa. Pač, bi jih par krepnilo, preden bi pogruntal komu se splača za kratek čas zaupat, ampak papirjev/izgube denarja in časa bi bilo pa manj.


Ne.

Blisk ::

NeMeTko je izjavil:

Blisk je izjavil:

Kaj pa če bi kak notranji naštudiral zadeve in postavil dober firewall? Tudi meni nihče ni extra plačal, da sem to naredil, pa sem naredil zaradi referenc, če bom šel drugam iskat službo.
Pa od kdaj so open source zadeve slabe? Mislim da so daleč boljše od windows source! Poleg tega pa tudi večina resnih firewall zadev uporabljajo linux.

Da bi lahko bil kompetenten za presojati, kako dober ali manj dober je open source firewall, bi moral poznati (postaviti?) vsaj še 3-4 različne komercialne firewall proizvode, saj sicer sploh nimaš realne primerjave.

Na forumih ponavadi srečuješ ljudi, ki poznajo edino low-end implementacije požarnih pregrad na home routerjih in so potem ves navdušen nad prvi malo bolj resno open source firewall rešitvijo, ki zagotovo nudi precej več možnosti, kot tisti (jaz jim rečem filtri) na routerčkih.



Na koncu, namesto da bi se ukvarjal z dejansko varnostjo (zaradi katere vse to sploh postavljaš), se ukvarjaš večino časa z zbiranjem, optimiziranjem in posodabljanjem open source kode. Če ne - boš zelo hitro imel zastarelo in nič kaj dosti varno rešitev, ki ne bo mogla optimalno izpolnjevati svoje vloge.

Ravno na varnostnem področju se pogosto srečujem z 'IT strokovnjaki', ki jih je očitno že zdavnaj zapustil tisti 'poklicni firbec'. Uporabljajo neko rešitev, ki je kakršna pač je, in najmanjšega interesa nimajo, da bi si zgolj ogledali, kaj je sicer danes še na trgu, kakšne možnosti so še na voljo - če ne zaradi česa drugega, vsaj zato, da bi se prepričali, da je njihova rešitev res tista optimalna ali vsaj primerna času, stanju tehnike.
Sam sem vedno bil zelo firbčen človek, ko se je šlo za tehnologije, sploh če se je šlo za nove tehnologije. Hočem vedeti, kaj prinašajo novega, kje je tista 'dodana vrednost', ali so kakšni novi koncepti, morda kakšni prijemi, ki bi jih lahko implementiral tudi na rešitvah, ki jih imam - brez investicije v novo rešitev. Tega firbca danes praktično ne srečuješ več. Ali je razlog kadrovska podzasedenost, da preprosto ni več časa za 'biti firbčen', ali pa se gre dejansko že za nekakšno otopelost, resignacijo ne morem presoditi.


Ok povedal si precej "prodajnih" zadev. Zdaj pa povej še kaj konkretnega, kaj se poganja na profesionalnih firewallih in zakaj ga naprimer rabi povprečno slovensko podjetje in koliko je dejansko danes vdorov in kakšnih preko firewala.

Zgodovina sprememb…

  • spremenil: Blisk ()

Keyser Soze ::

darkolord je izjavil:

Ne.

Ja, čist zares.
OM, F, G!

Blisk ::

Invictus je izjavil:

Blisk je izjavil:


S tole izjavo si mi dal misliti, če sploh veš o čem govoriš, ker mi zgleda da ne. Že 15 let se ukvarjam z obema sistemoma in plačali smo do sedaj samo Microsoft karkoli že!

Zelo dobro vem o čem govorim. Vsako resno podjetje, ki ji IT ni posel, ne bo svoje kritične infrastrukture dala v roke neki open source rešitvi brez resnega supporta.

Zakaj mislite da je Red Hat v tujini tako uspešen? Zaradi podpore in ker se potrudijo da s popravki ne razsujejo ravno vsega.

Malo pomisli koliko stane Linux podpora če moraš za to zaposliti enega človeka. Vsak 20k EUR na leto. Ali pa poglej koliko neplačanih nadur si opravil zaradi tega ker OS ni imel uradne podpore.

Seveda to v slovenskem okolju ni potrebno, ker tako malo kdo testira popravke preden jih namesti. Najprej namesti, pol pa pri stranki za njen denar odpravljaj svoj zajeb. In zvali krivdo na njih, čeprav niti dostopa do sistema nimajo. Videno prevečkrat.

Redkim izjemam se pač opravičujem ...


Brez zamere ampak takole poslovanje je zame res katastrofa, kdor takole posluje, se čudim da sploh še posluje. Moje rešitve delujej dolgoročno brez kakih posebnih dragih posegov.

NeMeTko je izjavil:

driver_x je izjavil:

V takih primerih je iz interneta naložena zastonj distribucija Linuxa ravno tako dobra, kot Windowsi.

Edit: dobra in slaba

To lahko za moje pojme trdi samo 'home user', ali pa povsem nekompetenten z Linuxom zaslepljen IT-jevec.

Tako Linux, kot Windows imata močne in šibke strani. Dober ITjevec, bo znal razbrati, kje bo profitiral z uporabo Linuxa, kje pa z uporabo Windows-ov. Z glavo skozi zid riniti in trditi, da je zgolj eden sistem 'bog in batina' je neposreden pokazatelj na nekompetentnost tistega, ki tako stališče zastopa.


S tem se popolnoma strinjam.! Delam z obema sistemoma, ki sta tesno povezana in ja res je!

Zgodovina sprememb…

  • spremenil: Blisk ()

NeMeTko ::

Blisk je izjavil:

Ok povedal si precej "prodajnih" zadev. Zdaj pa povej še kaj konkretnega, kaj se poganja na profesionalnih firewallih in zakaj ga naprimer rabi povprečno slovensko podjetje in koliko je dejansko danes vdorov in kakšnih preko firewala.


Nisem niti v enem stavku napisal 'moraš kupiti' - napisal sem 'moraš sprobati' - kar je bistvena razlika.

Proizvajalcev je več, rešitve pa se med seboj lahko bistveno razlikujejo že v samem osnovnem konceptu. Brez da si jih v praksi ogledaš in preizkusiš, ti bo teško kdo razložil kakšne so prednosti posamezne rešitve, kaj šele za vse.

Ustvariti si moraš lastno sliko - pa ne na osnovi predsodka temveč praktične izkušnje.

Poznam komercialne rešitve, za katere bi rekel, da niso vredne CD-ja na katerem so zapečene, imaš pa tudi takšne, ki so vredne vsakega centa, ki ga moraš zanje plačati. Zato sem tudi rekel, da moraš spoznati 3-4 rešitve, predenj lahko sploh začneš resno primerjati.

Ko spoznaš možnosti in razumeš čemu služijo in zakaj so bile implementirane, ti bo postalo tudi jasno za kaj bi to lahko rabilo 'povprečno slovensko podjetje'. Dokler pa niti ne veš kakšne so to opcije, kaj šele, da bi vedel kako naj bi doporinesle k varnosti, pa ne moreš ocenjevati.

Če vzameš analogijo z kuhanjem....
V domači kuhinji nekaj skuhaš in se naješ. Osnovno funkcijo si izpolnil - nisi več lačen.
Potem ti pa nekdo pride, pa govori o restavraciji s petimi zvezdicami, ki uporablja neke začimbe, za katere še svoj živi dan nisi slišal.
Tvoj pristop je nekako tako, kot če bi rekel 'kaj vraga neke začimbe - meni je čisto dost dobro to kar si sam skuham'.
Skratka sodiš o začimbah in hrani, da ne more biti nič bistveno boljša, ne da bi karkoli vedel o začimbah, kaj šele o končnem izdelku, ki ga tam postrežejo na krožniku.
Seveda je jasno, da je doma skuhano bistveno ceneje, kot v restavraciji s petimi zvezdicami, vendar to še ne more biti razlog, da lahko trdiš, da je tista cena precenjena - sploh ker niti nisi vprašal kakšna je dejansko.

Ko boš enkrat šel v tisto drago restavracijo, probal tam pripravljeno jed, ugotovil katere začimbe uporabljajo - boš morda naslednji dan tudi sam stopil na tržnico, nabavil katero od začimb in jo pričel uporabljati v domači kuhinji.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

ender ::

Blisk je izjavil:

Glede na to, da vidim, da se spoznaš na zadeve. KDO pa nabavlja te stvari? Verjetno se kupuje po načinu JU najcenejša zadeva gre čez? Torej verjetno drži tisto kar sem rekel, da so vedno v bolnicah najcenejše zadeve? Torej zadeve z Windowsi. Zanimivo bi bilo videti kataloge teh naprav in kateri OSi tečejo na enakih napravah vendar cenovno višjega ranga?
Naprave, o katerih govorim so višjega ranga, in definitivno ne spadajo med cenejšo robo. Jaz nisem v prodaji (niti ne delam v firmi, ki trži ultrazvoke - samo občasno nudim tehnično pomoč), tako da kako točno se vršijo razpisi ne vem, vem pa da se pred prodajo te naprave pogosto da kot demo enote v uporabo (kar nekatere ustanove kar grdo izkoriščajo).

Edini sistem poleg Windowsov, ki sem ga še videl na ultrazvoku je bil OS/2, samo to je bilo ne nečem predpotopnem.

Mimogrede, v eno od bolnišnic pri nas so prodali ultrazvok in delovne postaje s programsko opremo za pregled in obdelavo posnetkov, pa jih njihov IT že več mesecev ne uspe/zna priključiti na mrežo, ker je gor Windows 7, oni pa podpirajo samo XPje. K sreči imajo po ostalih bolnišnicah kjer sem bil precej boljšo podporo.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

marsovcek ::

Kakorkoli, naprave življenjskega pomena za ljudi praviloma niso priključene na internet, prav tako imajo neke svoje OS-e. Diagnostična oprema - ultrazvoki, sistemi za prenos slik, bolnišnični informacijski sistemi so pa res ponavadi win-based.

Blisk ::

Hvala za odgovor NeMeTko imel sem v uporabi samo eno profi firewall zadevo, ki pa me ni prepričala proti temu, kar sem jaz naredil na opensource firewall sistemu. Kakih posebnih razlik ni bilo videti. Vendar bi to lahko povedal kdo, ki je profi heker, jaz težko rečem, ker se ne ukvarjam samo z zaščito, ampak tudi drugimi zadevami, je pa sama zaščita področje zase v računalništvu. verjamem pa, da zadeve o katerih govoriš pridejo v poštev za razne banke in ostale institucije, ki morajo imeti dobro varovane podatke. Za kakšno povprečno slovensko podjetje, pa dvomim, da bodo dali 5.000€ za en poceni profi firewall, ker tudi njihovi podatki sami niso toliko "pomembni".

Ender, sem bil prepričan, da še vedno obstajajo zadeve na linuxih, očitno ne več.
Kar se tiče nastavitev in priklopa v mrežo po raznih firmah vidim kaj imajo in se lahko samo za glavo držim.
Dejansko so vsi računalniki vezani na en switch ta pa direktn na ruter in ven, poleg printerjev itd.

Ko jim predlagaš, da jim vzpostaviš dokaj varen in delujoč sistem za 1/2 denarja te pa čudno gledajo, kaj bi jaz tam delal, če vse deluje in če sistemc, ki ga imajo to porihta poceni za 50€ na uro :)

NeMeTko ::

Blisk je izjavil:

Hvala za odgovor NeMeTko imel sem v uporabi samo eno profi firewall zadevo, ki pa me ni prepričala proti temu, kar sem jaz naredil na opensource firewall sistemu. Kakih posebnih razlik ni bilo videti. Vendar bi to lahko povedal kdo, ki je profi heker, jaz težko rečem, ker se ne ukvarjam samo z zaščito, ampak tudi drugimi zadevami, je pa sama zaščita področje zase v računalništvu. verjamem pa, da zadeve o katerih govoriš pridejo v poštev za razne banke in ostale institucije, ki morajo imeti dobro varovane podatke. Za kakšno povprečno slovensko podjetje, pa dvomim, da bodo dali 5.000€ za en poceni profi firewall, ker tudi njihovi podatki sami niso toliko "pomembni".

Vidiš.... 5.000€ - NI poceni 'profi firewall'. Res je, da sicer imajo nekateri proizvajalci cene, ki so v tem rangu in celo višje - ob tem, da ne nudijo nobene posebne dodatne vrednosti v primerjavi z rešitvani, ki stanejo pol manj.
Ker sam prodajam varnostne rešitve, ti lahko povem, da za slabo polovico zneska, ki ga ti navajaš (2400€) pri meni že dobiš rešitev z 1.4 Gbps packet filter prepustnostjo (in 3-letno naročnino na vse UTM storitve, ki jih rešitev podpira). Za 4500€ ti pa lahko ponudim že 3 Gbps prepustnost od enoletni naročnini za UTM servise. Tak firewall je primeren za na 1Gbit internetno povezavo - pa mi povej, koliko podjetij poznaš, ki imajo tako hitro povezavo?

Skratka, vračam žogico nazaj k moji trditvi, da je treba najprej poznati več različnih rešitev, da bi lahko sodil. Lahko da si naletel na slabšo, bistveno precenjeno rešitev (takih, je kar nekaj!) in si obupal. Verjemi, da so na trgu tudi rešitve, ki so dejansko vredne svojega denarja in imajo cene, ob katerih se lahko resno vprašaš, če se še splača matrati se in nekaj improvizirati.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

Invictus ::

Keyser Soze je izjavil:

[
Če bi se folk odrekel "drkanju odgovornosti za vsak drek", bi ti tudi kakšno mašino prodali brez certifikata oz. papirjev, ki so najdražji v smislu denarja in časa. Pač, bi jih par krepnilo, preden bi pogruntal komu se splača za kratek čas zaupat, ampak papirjev/izgube denarja in časa bi bilo pa manj. :D

Zaupat "one man bendom" za kritične naprave je totalen "fail".

Noben ni tako dober ... Da ne govorim o tem da ga lahko avto povozi.

Sicer je problem večinoma tudi na naročnikovi strani. Vsaj v Sloveniji. Naročnik (IT oddelek) je ponavadi prelen ali premalo izobražen da bi sploh preveril ali kupljena rešitev ustreza.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

NeMeTko ::

Invictus je izjavil:

Sicer je problem večinoma tudi na naročnikovi strani. Vsaj v Sloveniji. Naročnik (IT oddelek) je ponavadi prelen ali premalo izobražen da bi sploh preveril ali kupljena rešitev ustreza.

Ni nujno, da je krivda lenoba ali izobrazba - dovolj je že, da so kadrovsko podhranjeni.

Taki bi morali bežati proč od raznih open source variant, ki so lahko hudo dodatno breme za že tako preobremenjeni IT.

Invictus ::

NeMeTko je izjavil:


Ni nujno, da je krivda lenoba ali izobrazba - dovolj je že, da so kadrovsko podhranjeni.

Mislim da kadrovska podhranjenost ni izgovor. Če ima preveč vsakodnevnega dela, potem je nekaj narobe ...

Saj ni treba gonit kolesa da dela infrastruktura.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

BaToCarx ::

Novica nevredna objave. Med branjem sem si mentalno pisal odgovor, ki pa je preobsežen in bo kot tak strjen v en stavek.

"Delavec mora bit srečen."


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ko napade malware, se bolnišnice ustavijo

Oddelek: Novice / Varnost
2512932 (11631) starfotr
»

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
18345297 (31654) SeMiNeSanja
»

V bolnišnicah ranljivi CT, PET in druge diagnostične naprave

Oddelek: Novice / Varnost
369422 (7500) Invictus
»

Losangeleška bolnišnica plačala odkupnino zaradi hekerskega napada

Oddelek: Novice / Kriptovalute
3516058 (13796) noraguta
»

Malware napada tudi bolnišnične aparature

Oddelek: Novice / Znanost in tehnologija
4917294 (15373) BaToCarx

Več podobnih tem